Вопросы Теги

Перенаправление GCE DNS

Я пытаюсь настроить локальный сервер пересылки DNS для сети VPC, чтобы использовать контроллер LDAP, на котором запущен DNS-сервер. У меня есть несколько проектов GCP, которые должны иметь возможность общаться друг с другом через уже построенный VPN-туннель, используя DNS-имена. Я активировал Cloud DNS на GCP, создал политику DNS-сервера для пересылки запросов на внутренние DNS-серверы, назначил эту политику моей пользовательской настройке сети, но виртуальные машины GCE по-прежнему не могут разрешать хосты. Но если я отредактирую файл /etc/resolv.conf на виртуальной машине и поставлю параметр сервера имен перед сервером метаданных GCP (169.254.169.254) - все будет работать нормально. Такое решение нежелательно, так как в случае большого количества виртуальных машин мне нужно будет развернуть эти изменения для каждой виртуальной машины отдельно. Также попробовал развернуть правила переадресации для внутренних доменов - результат тот же. В соответствии с инструкциями GCP DNS, вы можете использовать следующую команду для проверки настроек преобразователя DNS для всей сети:

gcloud compute address list \ --filter = "цель = DNS_RESOLVER" \ --format = 'csv [без заголовка] (адрес, подсеть)' .... 192.168.14.4, облако-впн-14 .... Этот IP-адрес был зарезервирован «dns-forwarder -....», и я могу сделать запрос с помощью dig test.1.com, но он не пересылает запрос на DNS-сервер, который использовался политикой переадресации DNS. .

Итак, мой вопрос в том, как избежать ручного изменения файла /etc/resolv.conf? Или как заставить перенаправление DNS работать правильно?

0
задан 19 January 2019 в 14:24
1 ответ

Я настроил его, но без указания внутренних IP DNS-серверов.

Я экспериментировал и мне удалось выяснить следующее: для успешной работы в - forwarding-target можно добавлять ip только внешние DNS-серверы, но не внутренние. Следовательно, чтобы это правило работало, вам необходимо сделать так, чтобы nat redirect 53 udp port с внешнего ip вашей корпоративной сети на внутренний ip вашего DNS-сервера. И чтобы разрешить это перенаправление для диапазона ip 35.199.192.0/19, который Google используется для проксирования DNS-запросов (документация https://cloud.google.com/dns/zones/#creating-forwarding-zones ), но в ходе моего эксперимента также стало ясно, что необходимо добавить диапазон от 172.217.0.0/16 к.

После выполнения этих условий все начинает работать успешно.

Пример: 

gcloud beta dns managed-zones create example-forwarding-zone \
    --dns-name="cluster.example.com" \
    --description="A zone" \
    --networks="default,my-network" \
    --visibility=private \
    --forwarding-targets="ext_ip_of_your_corporate_network"

После этот разрешающий хост test.cluster.example.com начинает работу.

0
ответ дан 5 December 2019 в 04:22

Теги

Похожие вопросы